{"id":847446,"date":"2023-07-10T16:56:44","date_gmt":"2023-07-10T16:56:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevo-troyano-bancario-toitoin-dirigido-a-empresas-latinoamericanas\/"},"modified":"2023-07-10T16:56:48","modified_gmt":"2023-07-10T16:56:48","slug":"nuevo-troyano-bancario-toitoin-dirigido-a-empresas-latinoamericanas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevo-troyano-bancario-toitoin-dirigido-a-empresas-latinoamericanas\/","title":{"rendered":"Nuevo troyano bancario TOITOIN dirigido a empresas latinoamericanas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 de julio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Seguridad empresarial\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Las empresas que operan en la regi\u00f3n de Am\u00e9rica Latina (LATAM) son el objetivo de un nuevo troyano bancario basado en Windows llamado <strong>TOITO\u00cdN<\/strong> desde mayo de 2023.<\/p>\n<p>&#8220;Esta campa\u00f1a sofisticada emplea un troyano que sigue una cadena de infecci\u00f3n de varias etapas, utilizando m\u00f3dulos especialmente dise\u00f1ados en cada etapa&#8221;, dijeron los investigadores de Zscaler, Niraj Shivtarkar y Preet Kamal. <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada.<\/p>\n<p>&#8220;Estos m\u00f3dulos est\u00e1n dise\u00f1ados a medida para llevar a cabo actividades maliciosas, como inyectar c\u00f3digo da\u00f1ino en procesos remotos, eludir el Control de cuentas de usuario a trav\u00e9s de COM Elevation Moniker y evadir la detecci\u00f3n de Sandboxes a trav\u00e9s de t\u00e9cnicas inteligentes como reinicios del sistema y verificaciones de procesos principales&#8221;.<\/p>\n<p>El esfuerzo de seis etapas tiene todas las caracter\u00edsticas de una secuencia de ataque bien dise\u00f1ada, comenzando con un correo electr\u00f3nico de phishing que contiene un enlace incrustado que apunta a un archivo ZIP alojado en una instancia de Amazon EC2 para evadir las detecciones basadas en el dominio.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Los mensajes de correo electr\u00f3nico aprovechan un se\u00f1uelo con el tema de la factura para enga\u00f1ar a los destinatarios involuntarios para que los abran, activando as\u00ed la infecci\u00f3n.  Dentro del archivo ZIP hay un ejecutable de descarga que est\u00e1 dise\u00f1ado para configurar la persistencia por medio de un archivo LNK en la carpeta de inicio de Windows y comunicarse con un servidor remoto para recuperar seis cargas \u00fatiles de la pr\u00f3xima etapa en forma de archivos MP3.<\/p>\n<p>El descargador tambi\u00e9n es responsable de generar un script por lotes que reinicia el sistema despu\u00e9s de un tiempo de espera de 10 segundos.  Esto se hace para &#8220;evadir la detecci\u00f3n de sandbox, ya que las acciones maliciosas ocurren solo despu\u00e9s del reinicio&#8221;, dijeron los investigadores.<\/p>\n<p>Entre las cargas \u00fatiles obtenidas se incluye &#8220;icepdfeditor.exe&#8221;, un binario v\u00e1lido firmado por ZOHO Corporation Private Limited, que, cuando se ejecuta, descarga una DLL no autorizada (&#8220;ffmpeg.dll&#8221;) con el nombre en c\u00f3digo Krita Loader.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1689008204_430_Nuevo-troyano-bancario-TOITOIN-dirigido-a-empresas-latinoamericanas.jpg\" alt=\"\" border=\"0\" data-original-height=\"428\" data-original-width=\"728\"\/><\/div>\n<p>El cargador, por su parte, est\u00e1 dise\u00f1ado para decodificar un archivo JPG descargado junto con las otras cargas \u00fatiles y lanzar otro ejecutable conocido como el m\u00f3dulo InjectorDLL que invierte un segundo archivo JPG para formar lo que se llama el m\u00f3dulo ElevateInjectorDLL.<\/p>\n<p>Posteriormente, el componente InjectorDLL se mueve para inyectar ElevateInjectorDLL en el proceso &#8220;explorer.exe&#8221;, luego de lo cual un Control de cuentas de usuario (<a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/exploring-windows-uac-bypasses-techniques-and-detection-strategies\" target=\"_blank\">UAC<\/a>) se realiza un bypass, si es necesario, para elevar los privilegios del proceso y se descifra el troyano TOITOIN y se inyecta en el proceso &#8220;svchost.exe&#8221;.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>\ud83d\udd10 Seguridad PAM: soluciones expertas para proteger sus cuentas confidenciales<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Este seminario web dirigido por expertos lo equipar\u00e1 con el conocimiento y las estrategias que necesita para transformar su estrategia de seguridad de acceso privilegiado.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-button\">Reserve su lugar<\/a><\/section>\n<p>&#8220;Esta t\u00e9cnica permite que el malware manipule los archivos del sistema y ejecute comandos con privilegios elevados, lo que facilita m\u00e1s actividades maliciosas&#8221;, explicaron los investigadores.<\/p>\n<p>TOITOIN viene con capacidades para recopilar informaci\u00f3n del sistema, as\u00ed como datos de recolecci\u00f3n de navegadores web instalados como Google Chrome, Microsoft Edge e Internet Explorer, Mozilla Firefox y Opera.  Adem\u00e1s, comprueba la presencia de Topaz Online Fraud Detection (OFD), un <a rel=\"nofollow noopener\" href=\"https:\/\/www.topazevolution.com\/es\/topaz\/clientes\/\" target=\"_blank\">m\u00f3dulo antifraude<\/a> integrado a plataformas bancarias en la regi\u00f3n LATAM.<\/p>\n<p>Actualmente se desconoce la naturaleza de las respuestas del servidor de comando y control (C2) debido a que el servidor ya no est\u00e1 disponible.<\/p>\n<p>&#8220;A trav\u00e9s de correos electr\u00f3nicos de phishing enga\u00f1osos, mecanismos de redireccionamiento intrincados y diversificaci\u00f3n de dominios, los actores de amenazas entregan con \u00e9xito su carga maliciosa&#8221;, dijeron los investigadores.  &#8220;La cadena de infecci\u00f3n de m\u00faltiples etapas observada en esta campa\u00f1a implica el uso de m\u00f3dulos desarrollados a medida que emplean varias t\u00e9cnicas de evasi\u00f3n y m\u00e9todos de encriptaci\u00f3n&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/new-toitoin-banking-trojan-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 de julio de 2023\ue804THNSeguridad empresarial\/malware Las empresas que operan en la regi\u00f3n de Am\u00e9rica Latina (LATAM) son<\/p>\n","protected":false},"author":1,"featured_media":847447,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,141,4664,4671,3581,4662,4668,4667,173541,4654,4658,4659,4653,4655,480,4663,4666,4665,173540,8665,4660],"class_list":["post-847446","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-bancario","tag-como-hackear","tag-dirigido","tag-empresas","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-latinoamericanas","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-toitoin","tag-troyano","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/847446","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=847446"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/847446\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/847447"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=847446"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=847446"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=847446"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}